[zorp-hu] zorp1.4 policy.py syntax + nem transzparens mod

Balazs Scheidler bazsi@balabit.hu
Fri, 22 Mar 2002 09:53:19 +0100 

On Thu, Mar 21, 2002 at 05:39:05PM +0100, Narancs v1 wrote:
> sziasztok!
> 
> adott a következő setup:
> 
> egy létező nem transzparens tűzfalat cserélnénk le zorpra,
> 
> intranet users -> www/ftpcache -> zorp -> internet
> 
> azon kívül hogy router=InbandRouter() mit kell még megadni?
> self.transparent=false?

ezek szerint a www/ftpcache cuccos parent proxykent hasznalna a zorpot? http
eseten ez a setup mukodokepes, viszont ftp eseten nem.

a legegyszerubb imho, hogy a cache szamara is transzparens a zorp, es nem
adod meg parentnek.

> nem akarom az internetes dns-t beadni.

ezt nem ertem.

> 
> tud a zorp akkor ilyent, hogy őt megjelölöm a web böngészőbe proxynak,
> vagy a cache-be parentnek és akkor ő feloldja a kéréseket?

igen, http eseten tudja. ftp eseten nem, illetve nem tamogatjuk a HTTP-be
csomagolt FTP-t. A nem transzparens FTP ugy mukodik, hogy kozvetlenul az FTP
proxyhoz kapcsolodsz, es ahelyett, hogy szimplan usernevet adsz meg, meg
kell adnod user@gepnev-t. A proxy pedig a '@' utani gephez fog kapcsolodni.

> 
> ugyanez kellen ftp proxy esetén is.
> 
> transzparensbe már csináltam, de nem tr.be még nem sikerült összehozni.
> 
> mit hova kell még írni, hogy tudja kiket lehet kiengedni?
> pl. csak bizonyos ipcímeket szolgáljon ki?
> tudom PF-ből ezt leszabályozhatom, de a zorp tudja?

termeszetesen. definialsz egy olyan zonat, ami lefedi azokat a gepeket,
amiket nem akarsz kiengedni, es egyszeruen nem adod meg
outbound_service-kent az adott szolgaltatast. Pl:

InetZone('nemhttp', ['192.168.1.2', '192.168.1.5', '192.168.1.11'],
	 outbound_services=[],
	 inbound_services=[])

Igy a fenti zonabol semmit nem lehet hasznalni. A Zorp mindig a
legspecifikusabb zonat keresi meg, es az ahhoz rendelt jogokat hasznalja.

> ja és a policy.py syntaxisa elég gyakran változott, uh sose tudom
> mi hiányzik, kellene több sample config.

az 1.4 soran nem valtozott a konfig, legalabbis lathatoan nem. most lenne az
automata ipchains kapcsan egy valtozas, felteve persze, hogy ezt 1.4-be is
berakjuk.

> szeretném a három zónát 3 instance-ra osztani, de így nem indul el.
> (linuxvilág alapján)

mi a hibauzenet?

-- 
Bazsi
PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1